Kan Windows Hello niet inschakelen - Sommige instellingen worden beheerd door uw organisatie

Ik heb de oplossing gevonden. De reden is dat Windows Hello anders wordt beheerd op computers met een domeinverbinding, vanaf de jubileumupdate. Om het te laten werken moet je de volgende stappen volgen:

1) Stel een Groepsbeleid Centrale Store in (die zou je al moeten hebben)

2) Haal Windows 10 Anniversary Update Groepsbeleid sjablonen. Je kunt dat doen door je bestanden van PolicyDefinitions (in windir op een Win10 Anniversary Update machine) te kopiëren naar de PolicyDefinitions van de centrale opslag. Je zou die bestanden eerst naar een file share kunnen kopiëren, vanwege permissies die je gewone gebruiker niet zou mogen hebben op de centrale winkel.

3) Maak een nieuwe GPO of voeg aan een bestaande de volgende instellingen toe om Windows Hello in te schakelen:

• Computerconfiguratie/Beleidsregels/Beheersjablonen

…/Windows Components/Windows Hello For Business/ Gebruik biometrie ==Ingeschakeld

…/Windows Components/Windows Hello For Business/ Gebruik biometrie ==Ingeschakeld

…/Windows Components/Windows Hello For Business/ … … . ../Windows-onderdelen/Windows Hallo voor Bedrijven/ Gebruik een hardware beveiligingsapparaat => Ingeschakeld (als u TPM wilt gebruiken in plaats van op sleutel of certificaat gebaseerde activering voor Windows Hallo). Merk op dat in het algemeen alle zakelijke computers TPM moeten hebben

…/System/Logon/ Gemak PIN sign-in inschakelen => Ingeschakeld (Dit is de sleutel. Dit schakelt PIN sign-in in die op zijn beurt Hello inschakelt, samen met de andere instellingen).

…/Windows-onderdelen/Biometrie/Niet toestaan dat domeingebruikers zich aanmelden met biometrische gegevens** = Ingeschakeld (Ik denk dat dit standaard is ingeschakeld, maar expliciet maken maakt GP-beheer een stuk eenvoudiger).

Meer optionele configuratiemogelijkheden vindt u in Systeem/Logon en Windows Componenten/Biometrie en Windows Componenten/Windows Hallo voor Bedrijven.

Meer achtergrond vindt u hier https://blogs.technet.microsoft.com/ash/2016/08/13/changes-to-convenience-pin-and-thus-windows-hello-behaviour-in-windows-10-version-1607/

en hier https://technet.microsoft.com/en-us/itpro/windows/keep-secure/implement-microsoft-passport-in-your-organization

Belangrijkste uittreksel:

_ _Beginnend in versie 1607 is Windows Hello als gemakspincode standaard uitgeschakeld op alle computers met domeingebondenheid. Als u een gemaks-PIN wilt inschakelen voor Windows 10, versie 1607, schakelt u de Groepsbeleidinstelling Gemaks-PIN-aanmelding inschakelen in. Gebruik de beleidsinstellingen van Windows Hallo voor Bedrijven om pincodes voor Windows Hallo voor Bedrijven te beheren. Als u op sleutels of certificaten gebaseerde Windows Hello wilt gebruiken, kunt u de gidsen in de links volgen. Raak echter niet in de war. Je kunt nog steeds gewone TPM gebruiken voor normale Windows Hello.

Het instellen van de volgende registersleutel werkt voor mij:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System]
"AllowDomainPINLogon"=dword:00000001

Referentie: https://social.technet.microsoft.com/Forums/en-US/b975932a-b50b-4759-b43a-c94854c6da83/cant-enable-windows-hello-with-fresh-install-of-anniversity-upgrade-on-domain-account?forum=win10itprosetup

Alles wat ik moest doen is:

1. Windows KEY + R om Uitvoeren te openen
2. Enter:
   gpedit.msc
3. Lokaal computerbeleid] > [Computerconfiguratie] > [Administratieve sjablonen] > [Systeem] > [Aanloggen] > [Gemakelijke PIN-aanmelding inschakelen] : ENABLED

Hiermee is Windows Hello ingeschakeld op de Surface Pro 4 met Windows 10 Pro.

Ik vecht hier al een hele tijd tegen. Ik heb al die instellingen voor groepsbeleid geprobeerd: gemaksdiensten PIN login inschakelen, Windows hello for business inschakelen, biometrie inschakelen, enz. enz. enz. Ik heb eindelijk de oplossing gevonden.

De pc’s in mijn bedrijf zijn Windows 10 build 1809. Voornamelijk Lenovo X1 Yogas en P330s en enkele Surface Pros. Ze zijn domein-gekoppeld aan een 2012 R2 domein en ze zijn geabonneerd op Office 365 voor e-mail en Office Pro Plus. We hebben een E3 licentie in Office 365. Wanneer een gebruiker de Office-apps registreert met behulp van hun eigen O365-licentie, koppelt het Windows aan hun werkaccount. Door die verbinding te verbreken kon ik PIN en vingerafdruk instellen. Hier is hoe je het moet doen:

1. Ga naar Windows Instellingen - } Accounts - } Toegang tot werk of school. De belangrijkste instelling is de “Werk of School Account” met het gekleurde Windows logo er naast. Koppel dat los. Raak de instelling “Verbonden met welk domein dan ook” niet aan.

2. Klik dan op “Sign-in Options”. Vingerafdruk en PIN zijn niet langer grijs. Als het nog steeds grijs is, zorg er dan voor dat “Gemak PIN aanmelden” is ingeschakeld.

3. Voeg de PIN toe, dan de vingerafdruk.

4. Ga terug naar “Toegang tot werk of school” in Instellingen - > Accounts.

5. Klik op Verbinden en voer het e-mailadres en wachtwoord van de gebruiker in.

Het enige groepsbeleid dat momenteel van kracht is, is de instelling “Schakel gemaks-pin aanmelden in” onder Beleidsregels, Administratieve sjablonen, Systeem, Aanmelden. Merk op dat dit NIET Windows Hello for Business is. Dit is nog steeds gewoon wachtwoordvulling. Op een dag zal gemaks-pin aanmelden worden afgeschaft en zullen we het op een veilige manier moeten doen.

Stel het volgende register in

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System]
"AllowDomainPINLogon"=dword:00000001

schakel dan UAC in en herstart de PC.

Er is een ding dat je niet moet configureren tenzij je de geldige certificaten hebt (dit is op server 2016).

Zorg ervoor dat “Computer conf/policies/Admin temp/Windows comp/Windows Hello for Business/Use Windows Hello for Business” is ingesteld op NOT CONFIGURED.

Dit was het enige dat ik had ingesteld (van een andere blog) en het had voorkomen dat Windows Hello werkte, Windows Hello wilde niet eens starten. Maar zolang het niet geconfigureerd is, zou het ok moeten zijn.

Na zo veel dingen geprobeerd te hebben (inclusief alle andere antwoorden hier tot nu toe), heb ik eindelijk het probleem voor mezelf opgelost met een workaround. Merk op dat dit een workaround is, geen echte oplossing:

Om samen te vatten, het probleem is dat iets in de domein account van mijn organisatie de optie om vingerafdrukken in te voeren heeft uitgeschakeld. In mijn geval, kon zelfs mijn IT groep in mijn lokale kantoor afdeling niet achterhalen wat het blokkeerde.

Dus maakte ik uiteindelijk een nieuwe lokale gebruikersaccount aan op mijn werk computer met volledige lokale administratieve rechten. Voor die nieuwe account gebruikte ik mijn persoonlijke Microsoft account om verbinding te maken (hoewel ik waarschijnlijk ook een lokale account had kunnen gebruiken). Toen ik inlogde op de nieuwe account, was er geen probleem met vingerafdrukken en ik kon de vingerafdrukken gemakkelijk configureren.

Mogelijke nadelen van deze workaround:

• Omdat het een nieuwe gebruikersaccount is, moet je misschien veel computerprogramma’s en instellingen opnieuw installeren en configureren. Het is in principe net als het opzetten van een gloednieuwe Windows computer. In mijn geval heb ik dit gedaan toen ik een nieuwe werkcomputer kreeg, dus ik moest de herconfiguratie toch doen.
• In sommige organisatorische opstellingen hebben niet-domein accounts misschien niet de juiste toegang tot sommige organisatorische bronnen. Dit was in mijn geval geen probleem. Als het bij jou een probleem is, kun je misschien verbinding maken met de organisatorische VPN om toegang te krijgen tot deze speciale bronnen, misschien zelfs permanent op deze workaround account.

Deze workarounds zijn misschien niet de moeite waard voor jou om alleen maar vingerafdruk sign-in te krijgen, maar ze werken uitstekend in mijn organisatorische context.

Ik ben op een Dell 7280 aangesloten op een domein. Door de onderstaande registersleutel toe te voegen en opnieuw op te starten, kon ik een 6-cijferige pin toevoegen.

[HKEY_LOCAL_MACHINE\SOFTWARE\PoliciesMicrosoft\Windows\System] “AllowDomainPINLogon”=dword:00000001